De verbinding beveiligen met de SSL It!-uitbreiding

Bekijk de instructie-video

Met de SSL It!-uitbreiding kunt u uw websites beveiligen met SSL/TLS-certificaten van de vertrouwde certificaatautoriteiten (CA’s) Let’s Encrypt en DigiCert (van de merken Symantec, GeoTrust en RapidSSL), of met elk ander SSL/TLS-certificaat van uw keuze. U kunt ook het volgende doen:

• De beveiliging van de bezoekers van uw website verbeteren met doorschakeling van HTTP naar HTTPS.
• De bezoekers van uw website beschermen door webbrowsers verbieden toegang te krijgen tot de website via onveilige HTTP-verbindingen.
• De privacy van de bezoekers van uw website beschermen en de prestaties van de website verbeteren met OCSP-stapling.

Aan de slag met SSL It!

Om het SSL/TLS-certificaat van een domein te beheren gaat u naar Websites & domeinen > uw domein. U kunt de huidige beveiligingsstatus van het domein bekijken onder SSL/TLS-certificaten:

Websites beveiligen met SSL/TLS-certificaten

Met de SSL It!-uitbreiding kunt u websites beveiligen met kosteloze en betaalde SSL/TLS-certificaten (op dit moment zijn alleen van certificaten van DigiCert beschikbaar) en ook met SSL/TLS-certificaten die u al in uw bezit hebt.

Een website beveiligen met een gratis SSL/TLS-certificaat van Let’s Encrypt:

1. Ga naar Websites & domeinen > uw domein > SSL/TLS-certificaten.
2. Klik op Gratis ophalen onder “Basisbeveiliging”.
3. Geef het e-mailadres op dat zal worden gebruikt voor belangrijke meldingen en voor het herstellen van verloren sleutels.
4. Selecteer wat u naast het hoofddomein verder nog wilt beveiligen:
   • Als u het www-subdomein en/of domeinaliassen gebruikt, zorg dan dat het selectievakje “Voeg het subdomein ‘www’ toe voor het domein en elk geselecteerd alias” is geselecteerd.
   • Als u webmail gebruikt, zorg dan dat het selectievakje “Webmail beveiligen voor dit domein” is geselecteerd.
   • Als u gebruik maakt van alles wat hierboven wordt genoemd plus nog andere subdomeinen, selecteert dan het keuzerondje “Beveilig het wildcard-domein (inclusief www en webmail)”.
5. Klik op Gratis ophalen.

Er zal een SSL/TLS-certificaat van Let’s Encrypt worden uitgegeven en automatisch geïnstalleerd.

Notitie

Als u een domein beveiligt met een SSL/TLS-certificaat van Let’s Encrypt en vervolgens nieuwe domeinen, subdomeinen, domeinaliassen of webmail aan het abonnement toevoegt, dan kan SSL It! deze automatisch voor u beveiligen door het SSL/TLS-certificaat opnieuw uit te geven. Hiervoor gaat u naar Websites & domeinen **> uw domein > **SSL/TLS-certificaten, waar u de optie “Houd websites beveiligd” inschakelt.

Een betaald SSL/TLS-certificaat ophalen:

1. Ga naar Websites & domeinen > uw domein > SSL/TLS-certificaten.

2. Bepaal welk SSL/TLS-certificaat u wilt aanschaffen. Klik op “Details weergeven” voor meer informatie over het certificaat (geldigheidsperiode, type validatie, enzovoort). Wanneer u uw keuze hebt gemaakt klikt u op Nu aanschaffen en u wordt automatisch doorgestuurd naar de webwinkel van Plesk.

3. Geef uw adres en betalingsgegevens op en schaf het certificaat aan.

4. Ga terug naar Plesk (gebruik de knop Terug in uw browser).

5. Het verwerken van de betaling kan even duren. Klik op Herladen om de betalingsstatus te actualiseren. Plesk werkt de status van betalingen eens per uur automatisch bij.

   

6. Als de betaling eenmaal is verwerkt klikt u op Geef de vereiste gegevens op.

   

7. Geef de vereiste contactgegevens op en klik op OK.

8. Plesk maakt nu automatisch een certificaataanvraag (CSR) aan, waarna het SSL/TLS-certificaat wordt ontvangen en geïnstalleerd. Dit kan even duren, afhankelijk van het soort SSL/TLS-certificaat. U kunt de status van het SSL/TLS-certificaat handmatig controleren door te klikken op Opnieuw laden, of door simpelweg te wachten tot Plesk dit automatisch doet - Plesk controleert status van het SSL/TLS-certificaat eens per uur.

Notitie

Voor bepaalde soorten SSL/TLS-certificaten (bijvoorbeeld EV) moet u aanvullende acties ondernemen. Mogelijk moet u een telefoontje of e-mail beantwoorden en de benodigde documenten indienen, zodat de CA uw aanvraag kan valideren.

Nadat het SSL/TLS-certificaat is geïnstalleerd toont het scherm Websites & domeinen > uw domein > SSL/TLS-certificaten alle informatie over het geïnstalleerde SSL/TLS-certificaat (naam, certificaatautoriteit, e-mailadres, enzovoort), de beveiligde componenten en andere opties (“Doorschakelen van http naar https”, “HSTS”, enzovoort).

SSL/TLS-certificaten uploaden

U wilt wellicht een SSL/TLS-certificaat uploaden in de volgende gevallen:

• U beschikt al over een certificaat dat u wilt gebruiken om uw domein te beveiligen.
• U wilt een certificaat installeren dat niet via SSL It! is te verkrijgen.

Een SSL/TLS-certificaat uploaden:

1. Ga naar Websites & domeinen > uw domein > SSL/TLS-certificaten en klik vervolgens op Uploaden.

   

2. Zoek het .pem op van het SSL / TLS-certificaat dat u wilt uploaden en klik vervolgens op Openen.

Het SSL/TLS-certificaat zal automatisch voor het domein worden geïnstalleerd.

Geïnstalleerde SSL/TLS-certificaten vernieuwen

Om ervoor te zorgen dat de beveiliging van uw website niet wordt onderbroken moet u het geïnstalleerde SSL/TLS-certificaat op tijd vernieuwen. De SSL It!-uitbreiding kan daarbij helpen.

SSL It! vernieuwt de gratis SSL/TLS-certificaten van Let’s Encrypt en DigiCert 30 dagen voor de vervaldatum automatisch.

SSL It! kan betaalde SSL/TLS-certificaten niet automatisch verlengen. Wat u wel kunt doen:

• De certificaten handmatig opnieuw uitgeven.
• SSL It! opdracht geven om verlopen SSL/TLS-certificaten automatisch te vervangen door gratis certificaten van Let’s Encrypt.

Betaalde SSL/TLS-certificaten opnieuw uitgeven:

1. Ga naar Websites & domeinen > uw domein, dat is beveiligd met een betaald SSL/TLS-certificaat dat binnenkort verloopt > SSL/TLS-certificaten.

2. Klik op Certificaat opnieuw uitgeven. U wordt nu automatisch doorgestuurd naar de webwinkel van Plesk.

3. Geef uw adres en betalingsgegevens op en schaf het certificaat aan.

4. Ga terug naar Plesk (gebruik de knop Terug in uw browser).

5. Het verwerken van de betaling kan even duren. Klik op Herladen om de betalingsstatus te actualiseren. Plesk werkt de status van betalingen eens per uur automatisch bij.

   

6. Als de betaling eenmaal is verwerkt klikt u op Geef de vereiste gegevens op.

   

7. Geef de vereiste contactgegevens op en klik op OK.

8. Plesk maakt nu automatisch een certificaataanvraag (CSR) aan, waarna het SSL/TLS-certificaat wordt ontvangen en geïnstalleerd. Dit kan even duren, afhankelijk van het soort SSL/TLS-certificaat. U kunt de status van het SSL/TLS-certificaat handmatig controleren door te klikken op Opnieuw laden, of door simpelweg te wachten tot Plesk dit automatisch doet - Plesk controleert status van het SSL/TLS-certificaat eens per uur.

Verlopen SSL/TLS-certificaten automatisch vervangen door gratis certificaten van Let’s Encrypt:

1. Ga naar Websites & domeinen > uw domein, dat is beveiligd met een betaald SSL/TLS-certificaat dat binnenkort verloopt > SSL/TLS-certificaten.
2. Zorg dat “Houd websites beveiligd” is ingeschakeld.

Wanneer uw betaalde SSL/TLS-certificaat verloopt, geeft SSL It! automatisch een gratis SSL/TLS-certificaat van Let’s Encrypt uit om domeinen, subdomeinen, domeinaliassen en de webmail die bij het abonnement horen te beveiligen. Dit zou uiterlijk één uur na het verlopen van het SSL/TLS-certificaat moeten gebeuren.

SSL/TLS-certificaten ontkoppelen

1. Ga naar Websites & domeinen > het domein waarvan u het SSL/TLS-certificaat wilt ontkoppelen > SSL/TLS-certificaten.
2. Click Toewijzing certificaat opheffen en klik vervolgens op OK.

De beveiliging van uw websites verbeteren

Een website alleen beveiligen met een geldig SSL/TLS-certificaat van een vertrouwde CA is niet voldoende voor een volledige bescherming van uw site. SSL is een complexe technologie met een aantal verschillende functies (algoritmische versleuteling, OCSP-stapling, HSTS en nog veel meer) die de veiligheid van de bezoekers van uw website en de prestaties van uw website kunnen verbeteren.

Het inschakelen van de volgende functies kan de positie van uw website in zoekmachines verbeteren:

• “Doorschakelen van http naar https” creëert een permanente, SEO-veilige 301-doorschakeling van het onveilige HTTP naar de beveiligde HTTPS-versie van de website en/of webmail.
• HSTS verbiedt toegang tot de website via onveilige HTTP-verbindingen.
• Met OCSP zal de webserver naar de status van het websitecertificaat vragen via de CA in plaats van via de browser van de bezoeker; de status kan goed, ingetrokken of onbekend zijn.

Pas op

Voordat u deze functies inschakelt, moet u ervoor zorgen dat uw website zonder problemen toegankelijk is via HTTPS, want anders kunnen bezoekers uw website mogelijk niet goed openen.

De beveiliging van uw websites verbeteren:

1. Beveilig uw website met een geldig SSL/TLS-certificaat van een vertrouwde CA.

2. Ga naar Websites & domeinen > uw domein > SSL/TLS-certificaten.

3. Schakel de optie “Doorschakelen van http naar https” in wanneer dit nog niet is gebeurd. “Doorschakelen van http naar https” is van toepassing op zowel de website als webmail.

   Notitie

   Als uw webmail niet is beveiligd met een geldig SSL/TLS-certificaat of als niet over webmail beschikt, schakelt dan het selectievakje “Inclusief webmail” uit.

4. HSTS inschakelen:

   1. Schakel HSTS in.

   2. Zorg ervoor dat het SSL/TLS-certificaat dat uw website beveiligt geldig is gedurende de “Max-age”-periode. Doe hetzelfde voor subdomeinen en het webmail-subdomein. Als het SSL/TLS-certificaat eerder verloopt dan de “Max-age”-periode en HSTS is ingeschakeld, dan hebben bezoekers geen toegang meer tot uw website.

   3. Als uw subdomeinen niet zijn beveiligd met geldige SSL/TLS-certificaten of als niet over subdomeinen beschikt, zorg dan dat het selectievakje “Inclusief subdomeinen” niet is geselecteerd.

   4. Als uw webmail-subdomein niet met een geldig SSL/TLS-certificaat is beveiligd of als u niet over webmail beschikt, schakelt dan het selectievakje “Inclusief webmail” uit.

   5. Klik op HSTS inschakelen.

      Notitie

      Als uw SSL/TLS-certificaat eerder verloopt dan de “Max-age”-periode maar wilt nog steeds gebruik maken van HSTS, dan raden wij u aan om “Houd websites beveiligd” in te schakelen. Wanneer het SSL/TLS-certificaat verloopt, dan zal SSL It! automatisch een gratis Let’s Encrypt-certificaat uitgeven om domeinen, subdomeinen, domeinaliassen en de webmail die bij het abonnement horen te beveiligen. De website wordt nu continu beveiligd en HSTS zal blijven werken.

5. “OCSP-stapling” inschakelen.

Nadat u de SSL-beveiliging van uw website hebt ingesteld kunt u deze evalueren.

Bekende problemen en beperkingen

• OCSP-stapling werkt alleen voor websites die werken met nginx in combinatie met Apache, of met alleen nginx. Als uw server alleen Apache gebruikt dan hoeft u “OCSP-stapling” niet in te schakelen.
• OCSP-stapling werkt mogelijk niet voor SSL/TLS-certificaten van bepaalde leveranciers (zoals de gratis certificaten van DigiCert) wanneer niet de volledige vertrouwensketen aanwezig is. Om te controleren of uw certificaat OCSP-stapling ondersteunt voert u de test van SSL Labs uit op uw SSL-configuratie.

De SSL-beveiliging van uw website evalueren

Populaire zoekmachines zoals Google geven voorrang aan websites met betere SSL-bescherming. In de SSL It!-uitbreiding kunt u een van de meest populaire testdiensten, Qualys SSL Labs, gebruiken om het volgende te doen:

• Controleren hoe goed de SSL-bescherming van uw website is.
• Ontdekken wat er kan worden verbeterd.
• De hoogst mogelijke score A+ verkrijgen, na eventueel eerst de SSL-beveiliging te verbeteren.

De SSL-beveiliging van uw website evalueren:

1. Ga naar Websites & domeinen > uw domein > SSL/TLS-certificaten.
2. Klik op “SSL Labs-test uitvoeren”.

De website van Qualys SSL Labs wordt geopend op een nieuw tabblad en de test wordt automatisch gestart. Wacht tot de test is voltooid om uw cijfer te ontvangen, dit kan een paar minuten duren.

Als u uw website hebt beveiligd met een geldig SSL/TLS-certificaat van een vertrouwde CA en u hebt alle functies van SSL It! voor het verbeteren van de beveiliging ingeschakeld, dan krijgt u waarschijnlijk de beoordeling A+.